Sono state rivelate numerose vulnerabilità in Alexa di Amazon, evidenziando la necessità per i fornitori di piattaforme per la casa intelligente di mantenere la sicurezza come parte del servizio. L’allarme arriva da un rapporto di ricercatori di Check Point Security rivelando che diversi sottodomini Amazon e Alexa erano vulnerabili a un’errata configurazione CORS (Cross-Origin Resource Sharing) e Cross Site Scripting (XSS). Utilizzando XSS, un utente malintenzionato avrebbe potuto acquisire un token CSRF che gli avrebbe fornito l’accesso agli elementi dell’installazione della casa intelligente.
Il concetto di casa intelligente è attraente, ma il sogno di automatizzare le attività domestiche potrebbe diventare un incubo una volta che emergono problemi di sicurezza. Nel caso di Alexa di Amazon, che è al centro della configurazione della casa intelligente di molte persone, sono state rivelate vulnerabilità che avrebbero potuto consentire a un utente malintenzionato di eseguire attività e scoprire cosa avrebbe detto un utente Echo ad Alexa, problemi che sono stati prontamente risolti.
Secondo i ricercatori, le presunte attività includono l’installazione automatica delle abilità di Alexa all’insaputa dell’utente, l’acquisizione di un elenco di tutte le abilità installate, la rimozione silenziosa delle abilità installate, l’acquisizione della cronologia vocale della vittima con Alexa e persino l’acquisizione di informazioni personali.
I rischi di un attacco hacker ad Alexa
Questa manipolazione delle abilità avrebbe potuto consentire l’installazione e l’utilizzo da parte dell’utente di una versione modificata di una competenza esistente, che potesse consentire l’esecuzione di azioni da parte dell’hacker o l’ulteriore acquisizione di dati da parte dell’utente. Potrebbe anche essere stato possibile per un utente malintenzionato installare un’abilità per intercettare le conversazioni vicino a un dispositivo Echo. Sebbene le intercettazioni sarebbero state possibili, gli utenti avrebbero avuto il potenziale suggerimento di qualcosa di spiacevole poiché l’ascolto avrebbe attivato l’indicatore della luce blu sul dispositivo Echo.
Gli utenti sono normalmente in grado di monitorare ed eliminare la cronologia vocale tramite la pagina delle impostazioni sulla privacy di Alexa o l’app Alexa. Gli utenti possono anche cancellare i record dicendo “Alexa, cancella quello che ho appena detto” o “Alexa, cancella tutto quello che ho detto oggi”, mentre un’opzione di cancellazione automatica può cancellare i dati una volta ogni 3 o 18 mesi. Si sostiene che un hacking attraverso le vulnerabilità del sistema sarebbe stato possibile tramite un singolo click sul collegamento Amazon da parte della vittima.
